Кому нужно знать закон 152-ФЗ «О персональных данных» в 2020

Любому владельцу бизнеса, не зависимо от масштабов предприятия, знать Закон 152-ФЗ просто необходимо. Неважно, юридическое лицо или индивидуальный предприниматель — все компании получают доступ к чужим персональным данным. Главное, уметь правильно с ними обходится, не нарушая закон и требования Роскомнадзора.

Заключение контрактов или договоров с контрагентами, прием сотрудников на работу, обслуживание клиентов, даже приём денежных средств в счёт оплаты товаров или услуг — всё это взаимодействие с персональными данными.

Люди предоставляют компаниям сведения о себе, и им нужны гарантии того, что их личные данные в надежных руках и будут использоваться исключительно по назначению.

Кроме того, существуют определенный перечень необходимых для бизнеса документов, связанных с обработкой, сбором и хранением персональных данных, который устанавливается Роскомнадзором.


☝ Роскомнадзор — контролирующая организация по вопросам работы юридических лиц или ИП с информацией о физических лицах. Проводит проверки, как по жалобам заявителей [1], так и по собственной инициативе [2]. И если документация компании по обработке, сбору и хранению персональных данных не соответствует нормам действующего законодательства — виновные лица могут быть привлечены к административной ответственности, а компания прекратит деятельность.


Как защитить компанию от штрафов по 152-ФЗ? Какие нужны документы для защиты персональных данных в организации и как правильно их составить? Как правильно обработать и отреагировать на жалобы недовольного клиента? Как Генеральный директор компании может быть уверен, что его бухгалтер или маркетолог надлежащим образом обращается с предоставленными ему сведениями о контрагентах, и не сообщает все данные ваших партнеров третьим лицам без согласия субъектов персональных данных?

Чтобы ответить на эти и многие другие вопросы нужно знать основные положения 152-ФЗ о персональных данных.

Состояние закона о персональных данных на 2020 год

Закон 152-ФЗ — единственный документ, который устанавливает требования и правила обработки персональных данных граждан ко всем организациям, государственным и муниципальным структурам, частным компаниям, которые собирают, обрабатывают и хранят персональные сведения своих сотрудников и клиентов.

Но несмотря на это, с конца 2017 года 152-ФЗ не изменялся, в отличие от хакерских программ, Интернет-шпионов и иных вирусов.

Фантазия мошенников в реальной жизни также не стоит на месте, и они каждый день изобретают новые и новые способы обмана как граждан, так и организаций с помощью полученных персональных данных.

Важнейшей гарантией прав граждан является обязанность операторов и третьих лиц, получивших доступ к их данным, обеспечивать конфиденциальность и безопасность. На конституционном уровне гарантируется право россиян на защиту своих неимущественных прав, включая защиту личных сведений, в том числе с правом на возмещение убытков, причиненного ущерба или компенсацию морального вреда.

И, вопреки изложенному, а также ряду судебных прецедентов, ФЗ «О персональных данных» не дорабатывается и не совершенствуется. В 2020 году каких-либо принятых Госдумой изменений в текст закона вноситься не планируется.

Слушать об изменениях 2019 года в законе 152-ФЗ «О персональных данных». Актуально на 2020 год.

Что относится к персональным данным?

Персональные данные

— это любая информация, позволяющая как точно идентифицировать физическое лицо (субъекта персональных данных), так и составить о нём чёткий образ или предположить, что в конкретном случае речь идёт именно об определенном человеке, а не о каком-либо абстрактном.

К такой информации относится:

  • ФИО;
  • сведения о дате и месте рождения;
  • адреса проживания и регистрации;
  • образование, доход, профессия (должность);
  • паспортные данные, ИНН, СНИЛС;
  • семейное, социальное или имущественное положение.

Постановлением Правительства РФ от 13.09.019 N 1197 перечень данных, относящихся к персональным, был дополнен:

  • абонентский номер телефона (подвижной радиотелефонной связи)
  • адрес электронной почты.

Оператор персональных данных

— любое физическое или юридическое лицо, включая государственные или муниципальные органы, организующие или осуществляющие сбор, хранение и обработку персональных данных граждан.

Если гражданин заключает договор об оказании услуг по установке у себя в квартире ПВХ-окон, он предоставляет компании-установщику свои личные персональные данные, и компания становится оператором обработки персональных данных.


✎ Обратившись в МФЦ для оформления документов, потребуется заполнение согласия на обработку персональных данных, поскольку МФЦ становится оператором, получившим от вас конфиденциальную информацию.


Оператор персональных данных несет полную ответственность за хранение всех полученных сведений и обязанность использовать данные только в тех целях, для которых они предоставлялись. Оператор будет привлечен к ответственности за их распространение или публичную огласку.

Цель обработки персональных данных прописывается в уведомление уполномоченного органа (Роскомнадзора) о начале обработки персональных данных и о внесении изменений в ранее представленные сведения в соответствии с методическими рекомендациями, утв. Приказом Роскомнадзора от 30.05.2017 N 94.

Категории персональных данных

ФЗ «О персональных данных» выделяет следующие категории персональных данных:

  • общедоступные персональные данные;
  • специальные категории;
  • обезличенные данные.

Общедоступные персональные данные

— это те данные, на которые не распространяются требования соблюдения конфиденциальности. К примеру, это могут быть справочники или социальные сети. Закон разрешает публиковать только следующий перечень персональных данных:

  • ФИО;
  • дату и место рождения;
  • адрес;
  • номер телефона;
  • сведения о профессии и образовании;
  • семейное положение, наличие детей.

Публикация персональных данных в общем доступе осуществляется только с письменного согласия субъекта. В любое время гражданин может отозвать свое согласие на публикацию и требовать немедленного удаления из общего доступа.

Если публикация личных данных произошла без согласия субъекта персональных данных, то он вправе обратиться в судебные и правоохранительные органы с целью привлечения виновных лиц к предусмотренной законом ответственности.

Сам же гражданин вправе публиковать о себе любую информацию, которую посчитает нужным, и самостоятельно несёт за неё ответственность.

Также Закон 152-ФЗ предусматривает некоторые виды персональных данных, которые нельзя скрывать. К ним, в частности, относятся сведения о доходах госслужащих, судей, представителей органов власти и т.д. Это делается в антикоррупционных целях. Такие сведения находятся в общем доступе, и ознакомиться с ними может любой человек.

Обезличенные данные

— это когда по публичной информации невозможно установить личность субъекта (безличностное лицо). Публикация обезличенных данных не требует разрешения или согласия.

Например, в целях добросовестности деятельности судебной системы в России и невмешательства в осуществление правосудия, все решения суда и приговоры в обязательном порядке подлежат размещению в Интернете в открытом доступе.

Но чтобы соблюсти права участников процесса на неприкосновенность личной жизни и семейную тайну, все решения или приговоры судов обезличиваются.

Личные данные

— напротив, это сведения, по котором можно чётко идентифицировать человека.

Специальные данные

Закон 152-ФЗ в статье 10 делит персональные данные на определенные (специальные) категории: расовая и национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья и даже интимная жизнь.

Обработка перечисленных персональных данных не допускается, за исключением следующих случаев:

  • когда субъект персональных данных дал на это своё согласие или разгласил эти сведения самостоятельно публичным способом;
  • когда это необходимо для реализации трудового, миграционного и пенсионного законодательства или законов о социальной помощи;
  • в медико-профилактических целях, в том числе для установления диагноза и назначения лечения;
  • для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
  • для противодействия терроризму и коррупции;
  • для транспортной и государственной безопасности;
  • для осуществления органами опеки возложенных на них функций по вопросу устройства детей на воспитание в семьи;
  • с целью осуществления оперативно-разыскной деятельности, привлечения к уголовной ответственности и приведения приговоров судом к исполнению;
  • при осуществлении исполнительного производства по принудительному исполнению решений судов.

Указанный перечень не является исчерпывающим, поскольку в пункте 3 данной статьи госорганам и муниципальным органам даётся право на обработку специальной категории персональных данных для осуществления возложенных на них функций и полномочий без какой-либо конкретизации.

Биометрические данные

— физиологические и биологические особенности человека на основании которых можно установить его личность (сетчатка глаза, отпечатки пальцев, фото— видео-записи и т.д.), обрабатываются только с письменного согласия.

Без письменного согласия биометрика осуществляется только в следующих целях:

  • осуществления правосудия и привлечения к ответственности;
  • розыск, в том числе международный;
  • дактилоскопия (опознание трупа);
  • миграционное законодательство;
  • антикоррупционные и антитеррористические меры;
  • принудительное исполнение решений и приговоров судов.

25 июня 2018 года был издан Приказ Министерства цифрового развития, связи и массовых коммуникаций РФ № 321, в соответствии с которым всем банковским организациям был разрешен сбор биометрики клиентов. По официальной информации это было необходимо, чтобы идентифицировать клиента удаленно по голосу или лицу с целью недопущения воровства денежных средств с банковских счетов или взлома личных кабинетов граждан. Уже в июле 2018 году была протестирована Единая биометрическая система (ЕБС). Без согласия клиента, биометрику банк обрабатывать и собирать не в праве, а при наличии такого согласия, оно может быть отозвано в любое время.

Персональные данные сотрудника

необходимы работодателю, чтобы осуществлять возложенные на него обязательства по закону: выплачивать заработную плату, платить налоги и сборы в ПФР и ФСС РФ, допускать к определенным видам деятельности только при наличии определенных условий.

Например, в соответствии со ст. 331 ТК РФ, педагогический сотрудник не может осуществлять трудовую деятельность пока не подтвердит свою квалификацию и образование, а также, что он не имеет и не имел судимости, не признан недееспособным, не имеет определенных заболеваний.

Персональные данные муниципального служащего

— такие же данные, необходимые работодателю в связи с исполнением муниципальным служащим своих обязанностей по должности.

Персональные данные гражданского служащего

Сбор и обработка данных госслужащих имеет свои особенности: госслужащие должны регулярно представлять работодателю, помимо общепринятых, следующие сведения:

  • о доходе;
  • об имуществе;
  • о кредитах и долгах.

Причем предоставляются не только свои сведения, но и касательно супругов и детей (п. 1 ч. 1 ст. 349.1 ТК.).

Это необходимо в антикоррупционных целях.

Таким образом, в некоторых случаях работодатель обязан располагать информацией не только о работнике, но и о персональных данных его супруга (супруги), несовершеннолетних детей и их имущественном и материальном положении.

Персональные данные в Интернете

Обработка, сбор и хранение персональных данных в Интернете осуществляется только с согласия субъекта, за исключением некоторых случаев, о которых написано ниже.

Без согласия обработка данных возможна только для исполнения заключенного договора. Например, приобретая товар в иностранном Интернет-магазине, субъекту придется ввести как минимум своё имя, чтобы магазин знал, кому отдавать товар, и свой адрес, чтобы магазин мог осуществить доставку. Между магазином и субъектом персональных данных заключен договор купли-продажи, и магазин обязан его исполнить.

Касательно российских Интернет-магазинов, а также иных сайтов, которые занимаются сбором персональных данных своих клиентов и посетителей сайта, существует определенный перечень документов, которые должны быть размещены в свободном доступе для ознакомления, и с которыми пользователь оглашается после ознакомления.

Необходимо отметить, что в соответствии с ФЗ «Об электронной подписи», проставление галочки в окне принятия предлагаемых условий равно рукописной подписи в договоре. То есть поставил галочку — согласился на все условия.

Важно отметить, что осуществление покупок в Интернет-магазинах — это заключение договора публичной оферты. Магазин выставляет на продажу товар (предлагает оферту), а пользователь приобретает товар по предлагаемой цене и по предлагаемым условиям, то есть акцептирует оферту.

Покупатель тем самым осуществляет конклюдентные действия, выражающие его волю и согласие на обработку его персональных данных, предоставленных при заполнении заявки на покупку товаров.

Получение согласия на обработку персональных данных по телефону, посредством СМС-сообщений действующим законодательством Российской Федерации в области персональных данных не установлено.

Персональные данные детей

Права и интересы несовершеннолетних защищают их родители или законные представителя в соответствии с семейным законодательством РФ. Поэтому право на сбор и хранение личных данных ребенка принадлежит их родителям равно в том объеме и порядке, как установлено для них самих.

Каких-либо особых требований, касательно детей, ФЗ-152 не содержит. Однако существуют требования к распространению информации о несовершеннолетнем в средствах массовой информации: запрещено оглашать персональные данные ребенка, если он пострадал в результате противоправных действий. Особенно это касается преступлений относительно половой неприкосновенности. Такая информация о персональных данных может быть распространена в СМИ только в целях расследования преступления, установления лиц, причастных к совершению преступления, розыска пропавших несовершеннолетних.

Что не является персональными данными?

К персональным данным нельзя отнести любую информацию, по которой идентифицировать человека невозможно:

  • псевдоним (никнейм);
  • голос, измененный с помощью редактора;
  • ретушированное изображение (на котором не видно лица или определенных физических особенностей, а также номеров, идентифицирующих транспортные средства);
  • истории из жизни, которые могли случиться если не с большинством, то со многими людьми.

Что важно знать! — по степени информативности персональные данные разделяются: сами по себе ФИО не определяют человека, если граждан, с такими ФИО несколько.

Например, если опубликовать новость о том, что гражданин Иванов Федор Сергеевич сегодня совершил ограбление — это неразглашение персональных данных, в том смысле, в котором их понимает закон. А вот есть написать:«Сегодня Иванов Федор Сергеевич после тяжелого трудового дня на ООО «Криогенмаш» в городе Липецк по дороге домой совершил ограбление»— это уже идентификация человека.

Как получить персональные данные?

Если исключить момент о том, что субъект персональных данных предоставил все сведения о себе самостоятельно, то без согласия субъекта получить его данные можно только в следующих случаях:

  • по запросу правоохранительных и судебных органов;
  • по адвокатскому запросу;
  • из общедоступных источников (поисковики, социальные сети, базы данных и т.д.).

Незаконно полученные сведения, в т.ч. личные персональные данные человека, нельзя использовать, какая бы цель не преследовалась. В противном случае придется понести ответственность за нарушение частной жизни, вплоть до уголовной.

Когда требуется согласие на обработку персональных данных

Закон «О персональных данных» указывает случаи, когда согласие на обработку персональных данных обязательно:

  • создание общедоступных источников информации (соцсети, справочники и т.д.);
  • использование специальных данных (в СМИ, медицине и т.д.);
  • использование биометрических данных;
  • трансграничная передача (за границу) данных в некоторые страны (те, которые не обеспечивают «адекватную» защиту персональных данных, по мнению Роскомнадзора);
  • если обработка данных порождает юридические последствия (заключение договоров, долговые обязательства и т.д.).

Когда не требуется согласие на обработку персональных данных

Сама по себе обработка персональных данных без согласия субъекта осуществляется для:

  • исполнения требований закона (розыск, опознание, коррупция, миграция и т.д.);
  • исполнения приговоров и решений судов, а также для осуществления правосудия;
  • исполнения договора;
  • сбора статистических данных, но только при условии обезличивания.

А вот публикация сведений о субъекте без его согласия возможно только в следующих случаях:

  • распространение общественно-значимой информации;
  • осуществление профессиональной деятельности журналиста;
  • если персональные данные общедоступны, либо сам субъект сделал их общедоступными;
  • в случае обязательной публикации в соответствии с требованиями закона (как в случае с доходами чиновников)

Под общественно-значимой информацией в данном случае понимается потребность общественности в обнаружении и раскрытии угрозы государству, обществу и гражданину, а также окружающей среде (Постановление Пленума Верховного Суда РФ от 15.06.2010 г. № 16 «О практике применения судами закона «О СМИ»).

Слушайте, как составить и заполнить Согласие на обработку персональных данных. Актуально на 2020 год.

Использование персональных данных

Использование персональных данных сотрудников организации.

Работодатель, как и все остальные операторы персональных данных, обязан осуществлять сбор, обработку и хранение персональных данных своих сотрудников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве в соответствии с требованиями действующего законодательства.

Для сбора и обработки персональных данных требуется письменное согласие сотрудника, за исключением следующих случаев:

  • если такое право предусмотренное коллективным договором или дополнениями к нему, а также правилами внутреннего трудового распорядка или локальными актами работодателя с разрешения профсоюзной организации;
  • в случаях, когда обязанность публиковать информацию о работниках прямо возложена на работодателя: сведения о доходах госслужащих, сведения о квалификации работников медицинской деятельности или педагогов (сотрудников педагогических учреждений);
  • данные руководителей органов местного самоуправления, его структурных подразделений, руководителях подведомственных организаций (фамилии, имена, отчества, должности, рабочие телефоны) также подлежат обязательной публикации.

В соответствии с Постановлением Госкомстата Российской Федерации от 05.01.2004 N 1 обработка данных близких родственников работника может осуществляться в определенных случаях, и согласие близкого родственника для этого не требуется.

Работодатель обязан разработать ряд документов по сбору, обработке и хранению данных своих сотрудников. Данные документы могут быть универсальны, как для сотрудников организации, так и для клиентов, но на практике всё же рекомендуется разделять пакеты.Это требование главы 14 Трудового кодекса РФ. В соответствии со ст. 87 ТК РФ, порядок хранения и использования персональных данных работников устанавливается работодателем в соответствии с требованиями ТК РФ и иных федеральных законов.

Внимание! При работе с персональными данными не обойтись без комплекта документов, которые требуются для соответствия требованиям закона № 152-ФЗ «О персональных данных» и прохождения проверок Роcкомнадзора.

Различают организационные, технологические и методические документы.

Комплект документов по защите персональных данных утверждает руководитель организации. На каждом бланке ставятся визы согласования с заинтересованными лицами. С некоторыми документами субъекты персональных данных должны ознакомиться под роспись.

Команда «ПД Мастер» оказывает услуги по подготовке документации по защите персональных данных. В рамках оказания услуг предоставляем 1 год бесплатного сопровождения: консультируем по вопросам о персональных данных, помогаем работать с проверками Роскомнадзора и жалобами физических лиц в рамках Закона 152, обновляем документацию и осуществляем внедрение.

Главной обязанностью работодателя является осуществление обработки данных своих сотрудников только в соответствии с целями, для которых эти данные были предоставлены: осуществление трудовых функций, осуществление пенсионных, налоговых и социальных отчислений, взаимодействие с кредитными организациями для выплат заработных плат.

Полный перечень целей, для которых организация осуществляет сбор и хранение персональных данных должен быть предусмотрен в локальных актах, например, в Положении о персональных данных, утвержденном руководителем организации или ответственным (уполномоченным на то) лицом.

Что примечательно, даже если сотрудник отзовёт согласие на обработку своих персональных данных, но продолжить осуществлять в компании трудовую деятельность — организация-работодатель вправе продолжить обрабатывать его данные, чтобы выполнять возложенные на неё по закону обязанности, связанные с трудовыми отношениями. Оснований для отстранения такого работника от работы или расторжения с ним трудового договора не возникает.

Что нужно знать про уволенных сотрудников

Касательно сотрудников, которые были уже уволены, следует учитывать, что по налоговому законодательству, организация должна хранить все документы, связанные с уволенным, в течение 4-х лет; а бухгалтерскую документацию— не менее 5-ти лет. И даже после этого, вся документация должна быть передана на архивное хранение на 75 лет. К слову, на архив действие Федерального закона «О персональных данных» не распространяется.

Что нужно знать про соискателей

Закон обязывает работодателя получать согласие от соискателей на обработку их персональных данных на период пока работодатель не решит, согласен ли он принять на работу соискателя или нет.

Такое согласие не требуется в следующих случаях:

  • если от имени соискателя действует кадровое агентство;
  • если соискатель самостоятельно разместил своё резюме в общем доступе;
  • если на работу принимается лицо, ранее занимавшее государственную или муниципальную должность по определенному перечню, и устраивается на работу в течение двух лет с момента увольнения;
  • если соискатель принимается на государственную или муниципальную должность по определенному перечню.

При этом, если резюме соискателя было получено работодателем дистанционным способом (по факсу, электронной почте, мессенджерам и т.д.), то работодателю необходимо совершить ряд определенных действий.

Так он должен:

  1. Уведомить соискателя о получении резюме;
  2. Направить соискателю ссылку на свою Политику обработки персональных данных и Пользовательское соглашение для ознакомления.
  3. Если по полученному резюме невозможно однозначно определить физическое лицо, которое его направило, что резюме подлежит незамедлительному удалению.

Работодатель вправе предложить соискателем самостоятельно заполнять резюме по его типовой форме, в том числе в форме электронного документа. Однако эта форма должна соответствовать п. 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687, а также содержать информацию о сроке ее рассмотрения и принятия решения о приеме либо отказе в приеме на работу.

В случае отказа в приеме на работу сведения, предоставленные соискателем, должны быть уничтожены в течение 30 дней, за исключением случаев, предусмотренных законодательством о государственной гражданской службе, где срок хранения персональных данных соискателя определен в течение 3 лет.

Если работодатель намерен осуществлять проверку соискателя, в том числе, с прежнего места работы, то нужно в обязательном порядке получить согласие соискателя.

Использование персональных данных клиентов в организации

Обработка персональных данных клиентов организации осуществляется с небольшой разницей от обработки данных сотрудников, за тем исключением, что передавать данные клиентов третьим лицам организация может только в исключительных случаях.

Если работодатель обязан производить за своих сотрудников определенные отчисления, из-за чего предоставляет сведения в государственные органы без согласия самого работника, то без предусмотренных законом оснований, компания не вправе оглашать данные своих клиентов и/или передавать конкретные данные о них третьим лицам.

В отличии от сотрудника организации, клиент компании вправе отозвать своё согласие на обработку данных в любой момент, и может потребовать компенсации, в случае если его требования не будут удовлетворены в добровольном порядке.

Однако тут тоже есть оговорка: для каких именно целей клиент обратился в компанию. Если между ними заключен договор, и на момент отзыва согласия договор не расторгнут, то формально, организация обязана исполнить принятые на себя обязательства, и, как следствие, отзыв согласия клиента для неё ничего не значит в той части, в которой персональные данные «пересекаются» с обязанностями по договору.

К примеру, в компанию по установке ПВХ-окон обратился клиент. Стороны заключили договор по монтажу, изготовлению и установке окон, обговорили адрес, дату и часы доставки и т.д. Но спустя несколько дней клиент отзывает своё согласие и требует уничтожить его данные. Компания вправе этого не делать, поскольку договор по окнам между сторонами не расторгнут, и данные клиента ей нужны, чтобы в срок привезти клиенту окна и осуществить монтаж.

Для регулировки вопроса обработки персональных данных клиентов в организации следует разработать ряд документов, таких как Пользовательское соглашение и Политику конфиденциальности, разработать Правила защиты персональных данных и назначить лицо, ответственное за сбор, хранение и обработку данных, как клиентов, так и сотрудников.

Скачать методичку по разработке политики оператора в отношении обработки персональных данных.

Передача персональных данных сотрудников или клиентов третьим лицам

 

Как было указано выше, организация-работодатель вправе передавать данные сотрудников (а в исключительных случаях и членов их семей) без согласия субъектов для осуществления своих функций как работодателя. Так организация передает сведения о сотрудниках следующим органам:

 

  • налоговая инспекция;
  • соцзащита;
  • пенсионный фонд;
  • кредитные организации (для выплаты заработной платы);
  • в уполномоченные органы по борьбе с коррупцией (даже в случае, если работодатель — частная компания, а не государственная);
  • в правоохранительные по соответствующему запросу или с целью сообщения о преступлении, включая цели предупреждения угрозы жизни и здоровью работника;
  • в судебные органы — также по запросу или для защиты своих прав и интересов;
  • для выполнения должностных обязанностей, включая командирование (например, передача данных о сотруднике компании-контрагенту);
  • военные комиссариаты;
  • профсоюзные организации;
  • при осуществлении контрольно-пропускного режима на территорию работы.

 

Роскомнадзор указывает, что в случае, если у работодателя возникают сомнения в правдивости поступивших к нему запросов или запрос поступил от неуполномоченного на то лица, то он должен поставить работника в известность о поступивших запросах и попросить его дать письменное согласие на ответ.

 

Лицо же (орган), которое сделало запрос, работодатель должен предупредить, что ответ на запрос содержит конфиденциальную информацию, которая может быть использована только в целях, для которых она истребовалась, а также потребовать подтверждения, что данные требования были соблюдены.

 

Касательно банковских организаций и выплаты заработной платы также существуют определенные оговорки. Так законодатель разъясняет, что без согласия работника передавать его данные кредитным организациям можно только если:

 

  • договор на выпуск банковской карты заключался напрямую с работником и в тексте договора предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;
  • наличие у работодателя доверенности на представление интересов работника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании;
  • соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 Трудового кодекса РФ).

 

В обязательном порядке согласие всех сотрудников требуется в случае, если работодатель привлекает стороннюю организацию для ведения кадрового или бухгалтерского учёта.

 

Перечень случаев, когда организация вправе передавать персональные данные своих клиентов несколько меньше, но по смыслу схож с предыдущим перечнем.

 

Так данные клиентов подлежат передаче без согласия самих клиентов:

 

  • по запросу суда;
  • по запросу правоохранительных и иных уполномоченных органов;
  • при проведении налоговых проверок и проверок со стороны правоохранительных органов;
  • при обезличивании персональных данных;
  • когда обработка осуществляется для цели, для которой данные предоставлялись, включая исполнение договора;
  • для доставки почтовой корреспонденции;
  • для статистических и научных целей при обязательном условии обезличивания данных;
  • для защиты жизни и здоровья как самого клиента, так и третьих лиц.

 

Защита персональных данных

 

Законом предусмотрено, что до начала обработки персональных данных, оператор обязан уведомить компетентный орган (Роскомнадзор) своем намерении осуществлять обработку персональных данных.

К исключениям относятся:

  • только ФИО субъектов;
  • трудовые отношения;
  • договорные отношения;
  • общедоступные персональные данные;
  • однократные пропуска на территорию;
  • когда данные обрабатываются без использования средств автоматизации (ЭВМ, компьютеры);
  • транспортная безопасность.

 


Прим. Роскомнадзор разъяснил, что под автоматизацией понимается непосредственное отсутствия деятельности человека. В случае если данные клиента просто забиты в компьютерную программу и сами по себе не рассылаются/уничтожаются/обрабатываются/обновляются и т.д., это нельзя считать автоматизацией.

 

Вместе с тем, при возникновении спорных вопросов относительно способа обработки данных, лучше этот момент уточнять непосредственно в Роскомнадзоре.

Уведомление о начале обработке персональных данных должно быть оформлено в соответствии с методическими рекомендациями по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения (утв. Приказом Роскомнадзора от 30.05.2017 N 94).

Если обработка данных будет осуществляться без уведомления Роскомнадзора, или в уведомлении будут содержаться недостоверные сведения, то организация будет привлечена к административной ответственности.

Важно помнить о том, что в случае, когда договорные отношения у компании с клиентом прекратились, а уведомления об обработки персональных данных не было подано в Роскомнадзор, и клиент не давал своего согласия на обработку, то его данные необходимо уничтожать, а не хранить. В противном случае организация уже не попадает под исключение и может быть оштрафована.

Далее оператору необходимо разработать необходимую документацию по обработке персональных данных. Перечень может разниться от размера организации, специфики её деятельности и т.д., но примерный перечень следующий:

  • Положение о персональных данных;
  • Приказ об утверждении положения;
  • Приказ о назначении ответственного лица;
  • Политика в отношении обработки и безопасности персональных данных;
  • Пользовательское соглашение в приложении и на сайте;
  • Инструкция ответственного за организацию обработки персональных данных;
  • Приказ о выделении помещений для обработки персональных данных + правила доступа;
  • Журнал учета машинных носителей информации с персональными данными.

Также если в организации есть Интернет-сайт, то он тоже должен соответствовать определенным требованиям: содержать в себе Политику конфиденциальности и Пользовательское соглашение, в которыми пользователь согласится, заполнив форму обратной связи или при осуществлении заказа.

Если же сервис компании ориентирован на международный рынок, но необходимо учитывать дополнительные требования международных правовых актов, и в частности, закон той организации, для населения которой осуществляется деятельность компании.

Ответственный за персональные данные в организации

Закон 152-ФЗ обязывает любого оператора персональных данных назначать ответственного за организацию обработки персональных данных.

Каких-либо особых требований к данному лицу закон не предусматривает, но прописывает ряд обязанностей.

Так ответственный за организацию обработки персональных данных обязан:

  • осуществлять контроль за соблюдением оператором и иными сотрудниками организации закона РФ о персональных данных, а также мониторить изменения в законе и уметь своевременно их обрабатывать;
  • разъяснять всем работникам требования закона к защите данных и меры по соблюдению этих требований;
  • организовать прием и обработку обращений, жалоб, заявлений и запросов субъектов касательно их данных и их защите; осуществлять их обработку и контролировать коммуникацию.

 

Ответственный должен быть назначен внутренним приказом руководителя организации, и для него должна быть разработана (должностная) инструкция, утвержденная локальными актами.

Если компания не назначила сотрудника и соответствующий приказ отсутствует, бремя ответственности и обязанности ложатся на руководителя организации (ст. 273 ТК РФ).

Требования к системе защиты персональных данных

Требования к системе защиты персональных данных утверждены Постановлением Правительства от 01.11.2012 N 1119.

При определении мер по защите персональных данных, необходимо в первую очередь определиться с возможными угрозами безопасности, после чего принять все возможные организационные и технические меры по обеспечению этой самой безопасности.

К таковым мерам можно отнести:

  • использование технических средств защиты информации (пароли, антивирусы и т.д.);
  • назначение ответственного по безопасности, его инструктаж и контроль;
  • установление правил доступа к данным, в том числе с регистрацией пользователей в системе с возможностью отслеживания их действий;
  • проведение регулярных проверок и анализа их результатов;
  • ограничение доступа к данных неуполномоченных или третьих лиц;
  • обеспечение безопасности помещения, в котором хранятся все данные.

Нарушение защиты персональных данных

Законодатель предусматривает ряд ответственностей за нарушения в области сбора, обработки и хранения персональных данных:

Дисциплинарная ответственность:

  • за разглашение одним сотрудником данных другого сотрудника (увольнение);
  • иные нарушения (замечание или выговор);
  • нарушение ответственным своих должностных обязанностей (увольнение).

Гражданская ответственность:

  • возмещение убытков, связанных с нарушением прав субъекта персональных данных;
  • компенсация морального вреда.

Административная ответственность:

  • за незаконную обработку данных или обработку, несовместимую с целями обработки;
  • обработка сведений без согласия субъекта персональных данных;
  • за непубликацию политики обработки персональных данных;
  • за непредоставление субъекту информации по поводу обработки его персональных данных;
  • за публикацию обязательных к публикации сведений без обезличивания информации;
  • невыполнение требований правоохранительных органов или Роскомнадзора в части обработки данных;
  • за неуведомление Роскомнадзора о начале обработки персональных данных;
  • за непредоставление иных сведений;

Уголовная ответственность:

  • собирание или распространение сведений о личной жизни и семейной тайне без его согласия, в том числе в публичном произведении или СМИ;
  • распространение личных данных лиц, не достигших возраста 16-ти лет;
  • неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование.

В заключение напоминаем, что после вступления в силу ФЗ № 152 «О персональных данных» операторам персональных данных, необходимо выполнить комплекс мероприятий по защите персональных данных, включая разработку пакета организационно-распорядительных документов.

Документы в организации должны создаваться по единым правилам,иметь юридическую силу и быть удобными в использовании. Это трудно реализовать, если в компании нет понимания какими нормативно-правовыми документами пользоваться при разработке системы защиты персональных данных.

 

Если у вас возникли вопросы или проблемы с оформлением и внедрением документации по защите персональных данных, команда «ПД Мастер» готова найти решение возникших вопросов. Связаться со специалистами можно через форму обратной связи, e-mail — hello@pdmaster.ru или телефон +7 (495) 782-69-88.

Здесь можно задавать свои вопросы





«Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности»